Kaspersky, un laboratoire de cybersécurité, tire la sonnette d'alarme sur les nouvelles tactiques de phishing du groupe BlueNoroff. Les pirates sont parrainés par la Corée du Nord, qui est financièrement motivée pour profiter de ses cyberattaques contre des sociétés financières, y compris des entités cryptographiques.
BlueNoroff a créé plus de 70 faux domaines qui imitent capital-risque entreprises et banques. La plupart des imposteurs se sont présentés comme des entreprises japonaises bien connues. Pourtant, certains prétendaient être des États-Unis et du Vietnam.
Le groupe BlueNoroff injecte souvent des logiciels malveillants via des documents Word et des fichiers de raccourcis. Leur dernier logiciel malveillant peut échapper au drapeau Mark-of-the-Web (MOTW).
Le rapport Kaspersky a révélé que le groupe BlueNoroff expérimente de nouveaux types de fichiers et d'autres méthodes de distribution de logiciels malveillants.
Une fois installé, son logiciel malveillant contourne les avertissements de sécurité MOTW de Windows concernant le téléchargement de contenu. Après cela, le virus intercepte de grandes crypto-monnaie transferts, en changeant l'adresse du portefeuille du destinataire et en augmentant le montant du transfert jusqu'à la limite maximale, en vidant le compte en une seule transaction.
Seongsu Park, un chercheur de Kaspersky, a noté le pic des cyberattaques en 2023. Park a souligné la nécessité pour les entreprises d'être plus sécurisées que jamais à mesure que de nouvelles campagnes malveillantes émergent.
La pression des hackers nord-coréens sur la sécurité
Les Menace nord-coréenne L'acteur a frappé pour la première fois une banque centrale bangladaise en 2016 et a été sur le radar des services de cybersécurité des États-Unis.
Le Federal Bureau of Investigation (FBI) des États-Unis, en collaboration avec la Cybersecurity and Infrastructure Security Agency (CISA), a conseillé à toutes les sociétés de crypto-monnaie basées aux États-Unis de renforcer leur architecture de sécurité contre les attaquants potentiels des pirates nord-coréens.
Un rapport de sécurité Groupe-IB ber récemment révélé que depuis 2017, plus de 882 millions de dollars ont été volés dans les échanges cryptographiques par le groupe Lazarus, parrainé par l'État.
Le groupe serait responsable de l'exploit de Ronin Bridge de 600 millions de dollars en mars et a récemment été repéré comme utilisant plus de 500 domaines pour tenter de voler des jetons non fongibles (NFT).
Malheureusement, les échanges cryptographiques ne sont pas les seules victimes de ces pirates coréens. Le rapport Group-IB a également révélé que plus de 10% des fonds des campagnes d'offre initiale (ICO) avaient été volés depuis 2017.
Une partie d'une plus grande opération?
La chambre 39, est un organisation secrète au sein du gouvernement nord-coréen qui est responsable de générer des devises étrangères à partir de sources illégales pour le pays. Il existe des preuves qu'il est impliqué dans un certain nombre d'activités illégales, y compris la contrefaçon et le trafic de drogue, ainsi que d'autres entreprises illicites telles que les ventes d'armes et le piratage.
Des transfuges nord-coréens affirment qu'il est exploité depuis un immeuble de la capitale, Pyongyang, et qu'il serait dirigé par des membres de la famille Kim, qui détiennent le pouvoir en Corée du Nord depuis trois générations.
La nature exacte et la portée des activités de Room 39 sont entourées de mystère, car elle opère en secret en raison de la nature illégale des opérations. Il s'agit probablement d'une source clé de financement pour la dictature nord-coréenne, et on pense qu'il est responsable de la génération de centaines de millions de dollars en argent noir chaque année.
On pense que l'organisation a de nombreuses relations internationales, et peut exporter de la main-d'œuvre esclave aux pays européens de profiter des coûts de main-d'œuvre plus élevés dans l'UE, par rapport à l'Asie de l'Est.
La Corée du Nord est depuis longtemps sous le coup de sanctions américaines, ce qui exerce une pression sur son accès aux réserves de change. En traitant avec des entreprises illégales en espèces, la nation est en mesure d'accéder à des fonds liquides, ce qui explique peut-être pourquoi les pirates nord-coréens recherchent plus de crypto en ce moment.
Une autre bousculade pour la Corée du Nord
Il est impossible de savoir si la salle 39 est derrière les piratages en cours, mais la Corée du Nord est connue pour transactions louches qui lèvent des liquidités. Un autre commerce illicite de longue date pour la Corée du Nord est la fabrication et l'exportation de méthamphétamine, qu'un transfuge du pays prétend avoir été fait sous les ordres directs de Kim Jong Il.
La méthamphétamine est largement consommée par la population locale. Selon certaines estimations, jusqu'à la moitié de la population nord-coréenne utilise la drogue, qui est également exporté en grandes quantités. Les pays voisins comme la Chine sont des marchés d'exportation de premier plan, mais d'autres pays comme les États-Unis ont intercepté des expéditions de méthamphétamine nord-coréenne.
Tout comme les piratages cryptographiques, les entreprises illégales comme la production de méthamphétamine bénéficient probablement du parrainage de l'État nord-coréen, ce qui fait qu'il est probable qu'elles continueront sans entrave.
Source : https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/